No ano passado, os agentes de IA tornaram-se na moda. OpenAI, Google e Anthropic lançaram agentes voltados ao público projetados para realizar tarefas de várias etapas entregues a eles por humanos. No último mês, um agente de IA de código aberto chamado OpenClaw conquistou an online graças às suas impressionantes capacidades autônomas (e às principais preocupações de segurança). Mas não temos realmente uma noção da escala das operações dos agentes de IA e se toda a conversa corresponde à implantação actual. O Laboratório de Ciência da Computação e Inteligência Synthetic do MIT (CSAIL) decidiu corrigir isso com seu recém-publicado Índice de Agentes de IA 2025, que fornece nossa primeira visão actual da escala e das operações dos agentes de IA na natureza.
Os pesquisadores descobriram que o interesse em agentes de IA sem dúvida disparou no último ano. Os artigos de investigação que mencionam “Agente de IA” ou “IA de Agente” em 2025 mais do que duplicaram o whole de 2020 a 2024 combinados, e um inquérito da McKinsey descobriu que 62% das empresas relataram que as suas organizações estavam pelo menos a experimentar agentes de IA.
Com todo esse interesse, os pesquisadores se concentraram em 30 agentes proeminentes de IA em três categorias distintas: opções baseadas em chat, como ChatGPT Agent e Claude Code; bots baseados em navegador, como Perplexity Comet e ChatGPT Atlas; e opções empresariais como Microsoft 365 Copilot e ServiceNow Agent. Embora os pesquisadores não tenham fornecido números exatos sobre quantos agentes de IA estão implantados na internet, eles ofereceram uma quantidade considerável de informações sobre como eles estão operando, o que ocorre em grande parte sem uma rede de segurança.
Apenas metade dos 30 agentes de IA que foram colocados sob lupa pelo MIT CSAIL incluem estruturas de segurança ou confiança publicadas, como Política de Dimensionamento Responsável da Anthropic, Estrutura de preparação da OpenAIou Padrão de IA Responsável da Microsoft. Um em cada três agentes não possui qualquer documentação de estrutura de segurança e cinco em cada 30 não possuem padrões de conformidade. Isto é preocupante quando se considera que 13 dos 30 sistemas analisados apresentam níveis de agência fronteiriços, o que significa que podem operar em grande parte sem supervisão humana em sequências de tarefas alargadas. Os agentes navegadores, em explicit, tendem a operar com autonomia significativamente maior. Isso incluiria coisas como o recém-lançado AI “Autobrowse” do Google, que pode concluir tarefas de várias etapas navegando em diferentes websites e usando informações do usuário para fazer coisas como fazer login em websites em seu nome.
Um dos problemas de permitir que os agentes naveguem livremente e com poucas proteções é que sua atividade é quase indistinguível do comportamento humano, e eles pouco fazem para dissipar qualquer confusão que possa ocorrer. Os pesquisadores descobriram que 21 dos 30 agentes não divulgam aos usuários finais ou terceiros que são agentes de IA e não usuários humanos. Isso faz com que a maior parte das atividades dos agentes de IA sejam confundidas com tráfego humano. O MIT descobriu que apenas sete agentes publicaram strings estáveis de Person-Agent (UA) e intervalos de endereços IP para verificação. Quase o mesmo número usa explicitamente strings UA semelhantes ao Chrome e contextos IP residenciais/locais para fazer com que suas solicitações de tráfego pareçam mais humanas, tornando quase impossível para um website distinguir entre tráfego autêntico e comportamento de bot.
Para alguns agentes de IA, esse é, na verdade, um recurso comercializável. Os pesquisadores descobriram que o BrowserUse, um agente de IA de código aberto, se vende aos usuários alegando que contorna os sistemas anti-bot para navegar “como um humano”. Mais da metade de todos os bots testados não fornecem documentação específica sobre como eles lidam com arquivos robots.txt (arquivos de texto que são colocados no diretório raiz de um website para instruir os rastreadores da internet sobre como eles podem interagir com o website), CAPTCHAs destinados a autenticar o tráfego humano ou APIs do website. A perplexidade chegou a defender que os agentes que agem em nome dos utilizadores não deveria estar sujeito a restrições de raspagem já que funcionam “como um assistente humano”.
O fato de esses agentes estarem soltos sem muita proteção significa que há uma ameaça actual de explorações. Há uma falta de padronização para avaliações e divulgações de segurança, deixando muitos agentes potencialmente vulneráveis a ataques como injeções imediatas, nas quais um agente de IA detecta um aviso malicioso oculto que pode fazê-lo quebrar seus protocolos de segurança. De acordo com o MIT, nove em cada 30 agentes não possuem documentação de proteção contra ações potencialmente prejudiciais. Quase todos os agentes não divulgam os resultados dos testes de segurança internos e 23 dos 30 não oferecem informações de testes de segurança de terceiros.
Apenas quatro agentes – ChatGPT Agent, OpenAI Codex, Claude Code e Gemini 2.5 – forneceram cartões de sistema específicos do agente, o que significa que as avaliações de segurança foram adaptadas à forma como o agente realmente opera, não apenas ao modelo subjacente. Mas laboratórios de fronteira como o OpenAI e o Google oferecem mais documentação sobre “riscos de alinhamento existencial e comportamental”, faltam-lhes detalhes sobre o tipo de vulnerabilidades de segurança que podem surgir durante as atividades quotidianas – um hábito que os investigadores chamam de “lavagem de segurança”, que descrevem como a publicação de quadros de segurança e ética de alto nível, ao mesmo tempo que divulgam apenas seletivamente as provas empíricas necessárias para avaliar rigorosamente o risco.
Tem havido pelo menos algum impulso no sentido de abordar as preocupações levantadas pelos investigadores do MIT. Em dezembro, OpenAI e Anthropic (entre outros) uniram forças, anunciando uma fundação para criar um padrão de desenvolvimento para agentes de IA. Mas o Índice de Agentes de IA mostra quão grande é a lacuna de transparência quando se trata da operação de IA de agentes. Os agentes de IA estão inundando an online e o native de trabalho, funcionando com uma autonomia chocante e supervisão mínima. Há poucos indícios no momento de que a segurança aumentará em breve.
